Duo-integratie configureren met Active Directory en ISE voor tweevoudige verificatie op AnyConnect/Remote Access VPN-clients

Downloadopties

  • PDF     (4.5 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (4.5 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (3.1 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 april 2023
Document-id:217739

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de duo push-integratie met AD en ISE beschreven als twee-factor verificatie voor AnyConnect-clients die met ASA zijn verbonden.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • RA VPN-configuratie op ASA
    • RADIUS-configuratie op ASA
    • ISE
    • Active Directory
    • Duo-toepassingen

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Microsoft 2016-server
    • ASA 9.14(3)18 
    • ISE-server 3.0
    • Duo Server
    • Duo Verificatie Proxy Manager

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Dit document beschrijft hoe u Duo push-integratie met Active Directory (AD) en Cisco Identity Service Engine (ISE) kunt configureren als tweevoudige verificatie voor AnyConnect-clients die verbinding maken met Cisco adaptieve security applicatie (ASA).

    Netwerkdiagram en -scenario

    Network diagram

    Communicatieproces

    https://duo.com/docs/ciscoise-radius

    1. Primaire verificatie gestart naar Cisco ISE-id
    2. Cisco ASA stuurt een verificatieaanvraag naar de Duo-verificatieproxy
    3. Primaire verificatie maakt gebruik van Active Directory of RADIUS
    4. Duo Authenticatie Proxy-verbinding ingesteld met Duo Security over TCP-poort 443
    5. Secundaire authentificatie via de dienst van Duo Security
    6. Duo authenticatie proxy ontvangt authenticatiereactie
    7. Cisco ISE-toegang verleend

    Gebruikersaccounts:

    • Active Directory Admin: Dit wordt gebruikt als de directory account om de Duo Auth Proxy te laten binden aan de Active Directory-server voor primaire verificatie.
    • Testgebruiker van Active Directory
    • Duo testgebruiker voor secundaire verificatie

    Active Directory-configuraties

    Windows-server is vooraf geconfigureerd met Active Directory Domain-services.

    Opmerking:Als RADIUS Duo Autor Proxy Manager op dezelfde Active Directory-hostmachine wordt uitgevoerd, moeten de NPS-rollen (Network Policy Server) worden verwijderd/verwijderd. Als beide RADIUS-services worden uitgevoerd, kunnen ze conflicten veroorzaken en gevolgen hebben voor de prestaties. 

    Om een AD-configuratie voor verificatie en gebruikersidentiteit op gebruikers van Remote Access VPN te realiseren, zijn een paar waarden vereist.

    Al deze gegevens moeten worden gecreëerd of verzameld op de Microsoft Server voordat de configuratie kan worden uitgevoerd op de ASA- en Duo Auth-proxyserver.

    De belangrijkste waarden zijn:

    • Domeinnaam. Dit is de domeinnaam van de server. In deze configuratiehandleiding is agarciam.cisco de domeinnaam.
    • IP/FQDN-adres van server. Het IP-adres of FQDN wordt gebruikt om de Microsoft-server te bereiken. Als een FQDN wordt gebruikt, moet een DNS-server worden geconfigureerd binnen ASA en Duo Auth proxy om de FQDN op te lossen.

        In deze configuratiehandleiding is deze waarde agarciam.cisco (die zich oplost in 10.28.17.107).

    • Serverpoort. De poort die wordt gebruikt door de LDAP-service. Standaard gebruiken LDAP en STARTTLS TCP-poort 389 voor LDAP en gebruikt LDAP over SSL (LDAPS) TCP-poort 636.
    • root-CA. Als LDAPS of STARTTLS wordt gebruikt, is de wortel CA die wordt gebruikt om het SSL certificaat te ondertekenen dat door LDAPS wordt gebruikt vereist.
    • Gebruikersnaam en wachtwoord voor map Dit is het account dat door Duo Auth proxy server wordt gebruikt om te binden aan de LDAP-server en gebruikers te verifiëren en te zoeken naar gebruikers en groepen.
    • Basisnaam en Groepsnaam (DN). De Base DN is het vertrekpunt voor Duo Auth proxy en vertelt de Active directory om te beginnen met zoeken naar gebruikers en hen te verifiëren.

       In deze configuratiegids, wordt het worteldomein agarciam.cisco gebruikt aangezien de Basis DN en Groep DN Duo-GEBRUIKERS zijn.

    1. Om een nieuwe Duo gebruiker, op Windows Server toe te voegen, navigeer naar Windows pictogram linksonder en klik op Windows-beheerprogramma's, zoals in de afbeelding.

    Windows Aministrative

    2. Ga in het venster Windows-beheertools naar Active Directory-gebruikers en -computers

    Vouw in het paneel Active Directory-gebruikers en -computers de domeinoptie uit en navigeer naar de map Gebruikers.

    In dit configuratievoorbeeld wordt Duo-USER gebruikt als doelgroep voor secundaire authenticatie.

    Active Directory

    3. Klik met de rechtermuisknop op de map Gebruikers en selecteer Nieuw > Gebruiker, zoals in de afbeelding.

    User creation

    4. Specificeer in het venster Nieuwe gebruiker-object de identiteitskenmerken van deze nieuwe gebruiker en klik op Volgende, zoals in de afbeelding.

    User setup

    5. Bevestig het wachtwoord en klik op Volgende. Voltooien zodra de gebruikersinformatie is geverifieerd.

    User setup2

    6. Wijs de nieuwe gebruiker toe aan een specifieke groep, klik met de rechtermuisknop op de groep en selecteer Toevoegen aan een groep, zoals in de afbeelding.

    Add to group

    7. Typ in het paneel Groepen selecteren de naam van de gewenste groep en klik op Namen controleren.

    Selecteer vervolgens de naam die overeenkomt met uw criteria en klik op OK.

    Check names

    8. Dit is de gebruiker die in dit document als voorbeeld wordt gebruikt.

    Twee configuraties

    1. Log in op uw Dudo Admin portal.

    Duo login page

    2.In het linker zijpaneel, navigeer naar Gebruikers, klik op Add User en typ de naam van de gebruiker die overeenkomt met onze Active Domain-gebruikersnaam, en klik vervolgens op Add User.

    Duo Users

    3. Vul in het nieuwe gebruikerspaneel de spatie in met alle benodigde informatie.

    Duo Users2

    4. Specificeer onder gebruikersapparaten de secundaire verificatiemethode.

    Opmerking:In dit document wordt de methode Duo push for mobile devices gebruikt, dus moet er een telefoonapparaat worden toegevoegd.

    Klik op Telefoon toevoegen.

    Add phone

    5. Typ het telefoonnummer van de gebruiker en klik op Telefoon toevoegen.

    Add phone2

    6. Navigeer naar Gebruikers op het linkerpaneel Duo Admin en klik op de nieuwe gebruiker.

    duouser

    Opmerking:In het geval u op dit moment geen toegang hebt tot uw telefoon, kunt u de e-mailoptie selecteren.

    7.Navigeren naar telefoons sectie en klik op Duo Mobile activeren.

    phones

    8. Klik op Generate Duo Mobile Activeringscode.

    Activate Duo

    9. Selecteer E-mail om de instructies via e-mail te ontvangen, typ uw e-mailadres en klik op Instructies per e-mail verzenden.

    Email instructions

    10. U ontvangt een e-mail met de instructies, zoals getoond in de afbeelding.

    Email Duo

    11. Open de Duo Mobile App vanaf uw mobiele apparaat en klik op Add dan selecteer Use QR code en scan de code uit de instructies e-mail.

    12. Nieuwe gebruiker wordt toegevoegd aan uw Duo Mobile App.

    Configuratie van twee autorisatieproxy

    1.Download en installeer Duo Auth Proxy Manager van https://duo.com/docs/authproxy-reference.

    Opmerking:In dit document is Duo Auth Proxy Manager geïnstalleerd op dezelfde Windows-server waarop Active Directory-services worden gehost. 

    2. Navigeer in het Duo Admin-paneel naar toepassingen en klik op Protect a Application.

    Proxy config

    3. Zoek in de zoekbalk naar Cisco ISE-straal.

    Protect application

    4. Kopieer de integratiesleutel, de beveiligingssleutel en de API Hostname. U hebt deze gegevens nodig voor de configuratie van de Duo-verificatieproxy.

    Cisco ISE

    5. Start de Duo Authenticatie Proxy Manager applicatie en vul de configuratie voor zowel de Active Directory-client als de ISE Radius Server in en klik op Valideren.

    Opmerking: Als de validatie niet succesvol is, raadpleegt u het tabblad debug voor meer informatie en corrigeert u dit.

    Validation

    Cisco ISE-configuraties

    1. Log in op het ISE-beheerportal.

    2.Breid het tabblad Cisco ISE uit en navigeer naar beheer, klik vervolgens op Network Resources en klik op Externe RADIUS-servers.

    Cisco ISE

    3. Klik op het tabblad Externe RADIUS-servers op Toevoegen.

    Radius servers

    4. Vul de spatie in met de RADIUS-configuratie die wordt gebruikt in de Duo Authenticatie Proxy Manager en klik op Indienen.

    Validation

    5. Navigeer naar het tabblad RADIUS-serversequenties en klik op Add.

    Radius servers sequence

    6. Specificeer de naam van de reeks en wijs de nieuwe externe RADIUS-server toe. Klik op Indienen.

    Radius servers sequence2

    7. Navigeer van het menu Dashboard naar Beleid en klik op Beleidssets.

    Policy Sets

    8. Wijs de RADIUS-sequentie toe aan het standaardbeleid.

    Opmerking:In dit document wordt de Duo-reeks op alle verbindingen toegepast, dus wordt het standaardbeleid gebruikt. De beleidstoewijzing kan naar behoefte variëren.

    Default Policy Sets

    Cisco ASA RADIUS/ISE-configuratie

    1. Configureer ISE RADIUS-server onder AAA-servergroepen, navigeer naar Configuration en klik vervolgens op Apparaatbeheer en vouw het gedeelte Gebruikers/AAA uit, selecteer AAA-servergroepen.

    Configuration

    2. Klik in het paneel AAA-servergroepen op Add.

    AAA Server Groups

    3. Selecteer de naam van de servergroep en specificeer RADIUS als het te gebruiken protocol en klik vervolgens op OK.

    AAA Server Groups config

    5. Selecteer uw nieuwe servergroep en klik op Add onder de Server in het paneel Geselecteerde groep, zoals in de afbeelding.

    AAA Server Groups ISE

    6. Selecteer in het venster AAA-server bewerken de interfacenaam, geef het IP-adres van de ISE-server op, typ de geheime RADIUS-toets en klik op OK.

    Opmerking: al deze informatie moet overeenkomen met de informatie die in Duo Verification Proxy Manager is opgegeven.

    Edit AAA Server

    CLI-configuratie.

    aaa-server ISE protocol radius
 dynamic-authorization
aaa-server ISE (outside) host 10.28.17.101
 key *****

    Cisco ASA VPN-configuratie voor externe toegang

    
ip local pool agarciam-pool 192.168.17.1-192.168.17.100 mask 255.255.255.0

group-policy DUO internal
group-policy DUO attributes
 banner value This connection is for DUO authorized users only!
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-agarciam
 address-pools value agarciam-pool

tunnel-group ISE-users type remote-access
tunnel-group ISE-users general-attributes
 address-pool agarciam-pool
 authentication-server-group ISE
 default-group-policy DUO
tunnel-group ISE-users webvpn-attributes
 group-alias ISE enable
 dns-group DNS-CISCO

    Testen

    1. Open de AnyConnect-app op uw pc-apparaat. Specificeer de hostnaam van de VPN ASA Head-end en log in met de gebruiker die is gemaakt voor Duo secundaire verificatie en klik op OK.

    VPN

    2. U hebt een Duo-push-melding ontvangen op het opgegeven Duo Mobile-apparaat.

    3. Open de Duo Mobile App-melding en klik op Goedkeuren.

    Verify Identity

    Verify Identity Approve

    4. Accepteer de banner en er wordt een verbinding tot stand gebracht.

    VPN connection

    VPN connection Accept

    Problemen oplossen

    Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

    De Duo-verificatieproxy wordt geleverd met een debug-tool die de redenen voor fouten en fouten weergeeft.

    Fouten in het werk

    Opmerking:De volgende informatie wordt opgeslagen in C:\Program Files\Duo Security Authenticatie Proxy\log\connectiviteit_tool.log.

    Output

    Output2

    Output3

    Output4

    1. Connectiviteitsproblemen, verkeerde IP, onoplosbare FQDN/Hostname op Active Directory-configuratie.

    Output5

    Output6

    2. Verkeerd wachtwoord voor beheerder op Active Directory.

    Output7

    Debugs.

    Output8

    3.Wrong Base Domain.

    Output9

    Debugs.

    Output10

    4. Foute RADIUS-waarde.

    Output11

    Debugs

    Output12

    5. Controleer of ISE-server access-request pakketten verstuurt.

    pcap

    6. Om te bevestigen dat de Duo-verificatieproxy werkt, biedt Duo de tool NTRadPing om pakketten voor toegangsaanvragen en antwoorden met Duo te simuleren.

         6.1 Installeer NTRadPing op een andere PC en genereer verkeer.

    Opmerking:In dit voorbeeld wordt de 10.28.17.3 Windows-machine gebruikt.

         6.2 Configuratie met de eigenschappen die op de configuratie van de ISE-straal worden gebruikt.

    Atributes ISE

         6.3 Configureer de Duo Authenticatie Proxy Manager als volgt.

    Duo Auth

         6.4. Navigeer naar uw NTRadPing tool en klik op Verzenden. U ontvangt een duo push-melding op het toegewezen mobiele apparaat.

    NTRadPing

    pcap2

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    18-Apr-2023
    Hercertificering
    1.0
    15-Mar-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Alan Omar Garcia
      Cisco TAC Engineer
    • Bewerkt door Yeraldin Sanchez
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten